introduktion til mpls tdc’s vpn mpls løsning • kundens lokationer bindes sammen i lukket...
TRANSCRIPT
1
Introduktion tilMPLS
Henrik Thomsen/EUC MIDT
2005
VPN -Traffic Engineering
2
Datasikkerhed
Kryptering
Data sikkerheds begreber
• Confidentiality - Fortrolighed– Kun tiltænkte modtagere ser indhold
• Authentication – Pålidelighed – Data modtaget er det samme som afsenderen sendte,
samt at afsenderen er den rigtige afsender.
• Integrity Checking – Helheds check– At data ikke er blevet ændret mellem afsender og
modtager
• Non-Repuditation – Ikke fornægtelse– Afsender kan ikke senere nægte at have sendt data
3
Tunneling
• En tunnel er en vej mellem to enheder – typisk to Gateways – hvorigennem trafik kan passere uændret.
Kryptering
• At kryptere en besked er at prøve at gøre beskeden umulig at læse mellem afsender og modtager
• At de-kryptere en besked er at gøre den læselig igen.
4
Kryptering og Tunneling
• Kryptering sikrer uvedkommende tyder data• Kryptering af hele IP pakken, sikrer hemmeligholdelse
af identitet på afsender og modtager. (Originale IP adresser)
Symmetrisk og Asymmetriske nøgler
• Symmetrisk nøgle– Samme nøgle anvendes til kryptering og
dekryptering– Udveksling af hemmelige nøgler en
sikkerheds risiko• Asymetriske nøgler
– Forskellige nøgler anvendes til kryptering og dekryptering
– Udveksling af offentlige nøgler ingensikkerheds risiko.
5
Asymmetriske nøgler
• Alice sender Bob sin offentlige nøgle i en almindelig mail
Usikkert netværk(Internettet)
Kære Alice
Konto er 445542Pin kode er 2345
HilsenBob
Bob
0x,fAkwle#kfwjef9kSsdkSjEDfs98,w2jksEjdFbq3s<dkjhbYwuh329+8ihF¤GO.uGwe)fkjFwe923>9QH8
0x,fAkwle#kfwjef9kSsdkSjEDfs98,w2jksEjdFbq3s<dkjhbYwuh329+8ihF¤GO.uGwe)fkjFwe923>9QH8
Kære Alice
Konto er 445542234Pin kode er 2345
HilsenBob
Alice
Kryptering medAlices offentlige
nøgle
De-kryptering medAlices hemmelige
nøgle
XYZ12345 ABC98765
Nøglerne fungerer matematisk ved at anvende meget store primtal. (200 cifre eller mere)Alice kan sende data til Bob, ved at få hans offentlige nøgle
IPsec: IP Security Architecture
• IPsec er et end-to-end sikkerheds system– Kan anvendes mellem IP Hosts og/eller Gateways
• IPsec giver– Confidentiality – Kryptering– Authentication – Afsenders identitet – Integrity Checking – Data modtaget = data sendt– Replay protection – Optaget data kan ikke
gensendes
• IPsec anvender tunneling og kryptering– IP datagrammet pakkes ind i en ny IP pakke
6
IPsec: IP Security Architecture
• IPsec er en tilføjelse til IPv4• IPsec er indbygget i IPv6 som standard• IPsec anvendes ofte i forbindelse med L2TP
– Layer 2 Tunneling Protocol– PPP protokollen som er en data link protokol
sendes også gennem tunnelen. (Validering PAP, CHAP)
• IPsec kan anvendes med en Preshared Key– Forhåndsdelt nøgle som indtastes.
Mere information
Hvis du vil finde mere information om sikkerhed, vira mv. kan du prøve følgende hjemmesider:http://www.icsalabs.com/ oghttp://www.symantec.com/avcenter/
Her kan du også følge med i den aktuelle situation omkring sikkerhedstruslerne på ’nettet’
7
MPLS
Multi Protocol Label Switching
MPLS - Princip– IP Pakken udvides med en 32 bits MPLS Label i Kant Routere.– Routere undervejs switcher på Label der peger mod modtager.
• Label forwarding/Switching er simplere end IP Forwarding.– Simplicitet i Backbone, kompleksitet i kant Routere– Lukket kommunikation mellem Viborg og Frederiksberg. (VPN)
• Virtual Private Network
8
TDC’s VPN MPLS løsning
• Kundens lokationer bindes sammen i lukket netværk.– Transport via IP-nettet i lukket gruppe.
• Internet adgang laves separat.• Hastigheder fra 512 Kbps til 1 Gbps• Eksisterende adresseplan bevares.
– IP adresser uden betydning da pakker Lables
*Oplysninger indhentet 13/08/2004
MPLS Begreber
• Forwarding Component– Har ansvaret for overførsel af MPLS pakker– Vej mellem afsender og modtager er fastsat.– En vej mellem to MPLS endepunkter kaldes
en LSP (Label Switch Path)– En LSP er Unidirektionel.
• Der skal anvendes en LSP i begge retninger for bidirektionel kommunikation
9
MPLS Begreber
• Control Component– Har ansvaret for at finde vej mellem afsender
og modtager. Én gang for alle pakker• Ikke som IP Forwarding, hvor hver pakke lever sit
eget liv.
– LDP - Label Distribution Protocol• Etablerer en best effort LSP.
– RSVP – Ressource Reservation Protocol• QoS og Traffic Engineering er mulig.
MPLS – Forwarding Component– LER: Label Edge Router
• Ingress LER: Sætter label på IP Pakke• Egress LER: Fjerner label fra Pakke
– LSR: Label Switch Router• Sender Pakke videre til næste MPLS enablede Router
10
MPLS – Forwarding Component
– LIB: Label Information Base• LSR/LER har informationer om alle Labels den må bære• Label udskiftes i LSR til Label der passer med nabo LSR
– Nabo LSR’er har aftale om Labels der må bæres på Link imellem dem
Kunde A - Viborg Kunde A - Frederiksberg
LSR LSR
LSRLSR
IP opsamlingsnet (Kant Routere)
IP Net Backbone
IP pakkeMPLS labeled
IP pakkeMPLS labeled
IP pakkeMPLS labeled
IP Pakke IP PakkeIP Pakke IP Pakke
LER LER
Ingress Egress
MPLS – Et eksempel
11
MPLS - Header
• Uafhængig af Lag 2 teknologi• Ved overførsel via ATM anvendes VPI/VCI som label• CoS: Class of Service
– IP CoS kan kopieres ind i MPLS Header• S: Stack
– Der kan være flere Labels. Flere MPLS Headere.• S = 1 – Sidste label• S = 0 – Der er flere labels
• TTL: Time To Live– Som ved IP. Antal HOP
RFC2547bis
• En MPLS VPN løsning• Meget skalerbar
– Mange kunder. (100.000 – 1.000.000)
• Store VPN løsninger– Op til tusinder af tilslutninger pr. kunde.– VPN – Virtual Private Network
12
MPLS – Et lukket netværk
Kunde B172.16.0.0/16
P1
P2
Kunde A172.16.0.0/16
P4
P5
P6
P2
P1
Kunde A172.17.0.0/16
P3Kunde B
172.17.0.0/16
LER2
LER1
P2
P1
Kunde A172.18.0.0/16
LER2
LSR2LSR
LSR
LSR3
LSR1
P1 P1
P4 P1
P3
Kunde B172.18.0.0/16
Provider
MPLS – Flere labels
• MPLS Label 1 sættes på ”Pushes” på Ingress Router• Flere Labels kan sættes på ”Pushes”• Anvendes til at tunnelle gennem backbone net.• Labels kan Pushes og Popes af MPLS Routere.• Ingres LER Pusher 2 labels
– Label 1 anvendes af Egrees LER til at identificere VPN kunde– Label 2 anvendes af LSR’ere til at finde vej mellem Ingres og
Egrees Routere– Label 2 anvendes som tunnel mellem LER’ere
13
MPLS – Flere labels
MPLS – Control Component
• MPLS fungerer i et konvergeret netværk– Anvender for eksempel BGP som IGP– Nyere på stammen er MP-BGP
• Multi Protocol BGP
14
Hvad er et VPN
• Et VPN er et antal tilslutninger til et Backbone net som må udveksle trafik.
• Medlemmerne i et VPN må ikke udveksle trafik med andre.
• Et privat net.• Et VPN er defineres af et sæt regler der
– Definerer connectivitet og QoS mellem tilslutninger i VPN’et.
Traffic Engineering
• Kunsten at vælge bestemte veje gennem netværket for at– Få en optimal udnyttelse af
netværksressourcer.
• Routenings protokoller er ikke perfekte– IGP’ere udnytter ikke alle Links optimalt
• MPLS giver mulighed for at angive den eksakte vej gennem nettet
15
TDC VPN kunde løsninger
• Routerbaseret VPN– VPN forbindelsen etableres imellem CPE
Routerne.– Kan anvendes på alle tilslutninger til Internet
• Netbaseret VPN– Anvender MPLS VPN mellem sites– Giver større sikkerhed